POLITICA DE GESTIÓN DE CONTROL DE ACCESO

PROPOSITO

Establecer y seguir un proceso, preferiblemente automatizado, para revocar el

acceso a los activos de la empresa, mediante la desactivación de cuentas
inmediatamente después de la terminación, revocación de derechos o cambio
de rol de un usuario.

ALCANCE

Aplicable al personal del área de Seguridad TI que será el que administra el

inventario de accesos establecidos.

POLITICAS DE GESTIÓN DE CONTROL DE ACCESO

1. Se debe establecer un proceso en el que se conceda y revoquen privilegios
para las cuentas de usuario.

2. Se debe de establecer el acceso al mínimo privilegio según el rol del usuario

al que se le requiera dar el acceso.

3. Las cuentas con muchos privilegios no deben de ser utilizadas diariamente. Se

deben tener un listado de cada uno de los usuarios que tengan la mayoría
de privilegios y evaluar si realmente es necesario que tengan dichos privilegios.
Solo los jefes de área y coordinadores pueden tener más privilegios que un
usuario común.

4. Se deben eliminar o revocar de manera inmediata cuando un empleado ya

no labore más en la empresa.

5. Los encargados de seguridad TI deben de inventariar y rastrear las cuentas de

servicio debido a que se puede dejar tokens o contraseñas en texto plano
sin cifrar en repositorios de código basados en la nube.

6. Los administradores deben de tener cuentas separadas que no tengan

privilegios elevados para el uso diario en la oficina y deben de iniciar sesión en
 las cuentas de administrador únicamente cuando vayan a realizar operaciones
de administrador que requieran ese nivel de autorización.

SANCIONES

1. Los usuarios no administradores (jefe de área o coordinadores) que

posea accesos de administrador serán investigados y así mismo se
evaluarán la acciones que hayan realizado con dichos accesos. El
empleado quedará a disposición del gerente de tecnología.

2. El empleado que aun posea lo accesos y privilegios y que los ejecute

una vez que haya abandonado la empresa, se reportará a gerencia la
actividad del empleado y el empleado responsable de revocar dichos
accesos.

3. Se sancionará con despido al empleado que se sorprenda en el acto

de dar accesos de administrador a usuarios, así mismo, quedará a
disposición de la política de sanciones de la empresa.
DIAGRAMA
 ANEXO 1

Departamento de Tecnología y Seguridad TI

IDUSUARIO EMM1

Nombre completo: Julio Saul Ramos Chacon

Entidad: Banco del mundo

Puesto: Oficial de Seguridad TI

Dirección: Cuidad de Guatemala

Correo Electrónico: saulramos@gmial.com

Teléfono: 5656-9898

Nombre del solicitante: Saul Ramos Autorizado por: Gerente de tecnología

Nombre:

Firma del solicitante Firma:

Vo.Bo. Coordinador de Seguridad TI